Risque

  • Exécution d'un code arbitraire à distance

Systèmes affectés

  • PHP de la version 3.10 à la version 3.18.
  • PHP de la version 4.0.1 à la version 4.1.1

Résumé

Plusieurs vulnérabilités de type « débordement de mémoire » permettent à un utilisateur mal intentionné d'exécuter un code arbitraire à distance.

Description

PHP est un langage permettant la création de pages Web dynamiques.

Plusieurs débordements de mémoire présents dans la fonction php_mime_split (fonction servant à traiter les requêtes HTTP de type «POST multiple-part») permettent à un utilisateur mal intentionné l'exécution d'un code arbitraire à distance.

Contournement provisoire

Désactiver la fonction upload (file_upload = off) dans le fichier php.ini.

Solution

Installer la version 4.1.2 de PHP disponible sur

http://www.php.net

ou appliquer le correctif de la version concernée.

Documentation